一种防御ddos攻击的方法及其系统与流程

本发明涉及一种防御攻击的方法及其系统，特别是一种防御ddos攻击的方法及其系统。

背景技术：

分布式拒绝服务(ddos:distributeddenialofservice)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动ddos攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将ddos主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

在现有技术上，普遍认为ddos攻击是没办法防御的，唯一能缓解的方案就是根据攻击流量的大小不断地增加带宽，但是一个服务器的带宽是有限的，而攻击者的流量理论上可以无限大，并且随着服务器带宽的增加，相应的花费在宽带上的费用也会大大增加。

技术实现要素：

本发明所要解决的技术问题是提供一种防御ddos攻击的方法及其系统，其有效防御ddos攻击并且成本较低。

为解决上述技术问题，本发明所采用的技术方案是：

一种防御ddos攻击的方法，其特征在于包含以下步骤：

步骤一：生成a个特定顺序的二级域名，并将二级域名与b个中转服务器ip绑定，其中a≧b；

步骤二：客户端从第n个二级域名开始按照二级域名的特定顺序访问中转服务器请求服务，若失败则访问下一个中转服务器，直至请求服务成功，其中n<a。

进一步地，所述步骤一中，二级域名生成方法采用种子随机数、md5或sha算法生成。

进一步地，所述步骤一中，b个二级域名与b个中转服务器一一绑定后，剩余的a-b个二级域名设置错误的干扰ip地址。

进一步地，所述步骤二中，中转服务器收到客户端的请求，判断客户端的身份信息决定是否响应请求。

进一步地，所述身份信息包含会员等级、活跃度、绑定手机号。

进一步地，当某个中转服务器受到攻击后，将连接到该服务器上的客户端通过跳转指令再平均分配到不同的中转服务器，找到发起攻击的客户端用户身份，针对该客户端用户身份发起的请求，服务器不再响应。

一种防御ddos攻击的系统，其特征在于：包含客户端、若干中转服务器和主服务器，主服务器接收并处理客户端发出经中转服务器送达的数据，根据数据内容决定是否处理该客户端请求，或决定是否发出让客户端跳转到指定中转服务器的指令；客户端以特定顺序访问中转服务器，接收并处理服务器端返回经中转服务器送达的数据指令，若收到跳转指令，则跳转到指定的中转服务器。

本发明与现有技术相比，具有以下优点和效果：本发明提供了一种防御ddos攻击的方法及其系统，相比于现在毫无办法只能拓宽带宽的方法，本发明的成本大大降低，同时本发明相比于现有技术对ddos攻击的防御效果更加的显著。

附图说明

图1是本发明的一种防御ddos攻击的系统的示意图。

图2是本发明的实施例的二级域名与中转服务器ip绑定示意表格。

具体实施方式

本发明的一种防御ddos攻击的方法，其特征在于包含以下步骤：

步骤一：生成a个特定顺序的二级域名，并将二级域名与b个中转服务器ip绑定，其中a≧b；

二级域名生成方法采用种子随机数、md5或sha算法生成。

b个二级域名与b个中转服务器一一绑定后，剩余的a-b个二级域名设置错误的干扰ip地址。

步骤二：客户端从第n个二级域名开始按找二级域名的特定顺序访问中转服务器请求服务，若失败则访问下一个中转服务器，直至请求服务成功，其中n<a。

中转服务器收到客户端的请求，判断客户端的身份信息决定是否响应请求。身份信息包含会员等级、活跃度、绑定手机号。

当某个中转服务器收到攻击后，将连接到该服务器上的客户端通过跳转指令再平均分配到不同的中转服务器，找到发起攻击的客户端用户身份，针对该客户端用户身份发起的请求，服务器不再响应。

如图1所示，一种防御ddos攻击的系统，包含客户端、若干中转服务器和主服务器，主服务器接收并处理客户端发出经中转服务器送达的数据，根据数据内容决定是否处理该客户端请求，或决定是否发出让客户端跳转到指定中转服务器的指令；客户端以特定顺序访问中转服务器，接收并处理服务器端返回经中转服务器送达的数据指令，若收到跳转指令，则跳转到指定的中转服务器。

相比传统的c/s结构，除了客户端和主服务器端，中间需增加一个中转服务器端，中转服务器的功能为：接收客户端的数据并发送给主服务器端，接收主服务器端的数据并发送给客户端。由于中转服务器只负责数据的转发，所以对性能要求不高，租用成本低廉。为保证数据传输的效率，中转服务器与主服务器可以在同一内网。

下面结合附图并通过实施例对本发明作进一步的详细说明，以下实施例是对本发明的解释而本发明并不局限于以下实施例。

假设有主域名abc.com，使用种子随机数或类似md5、sha等算法生成100个特定顺序的二级域名，例如以下生成算法：

stringkey="abcdefg";

stringcode="1234567890";

for(intm=0;m<100;m++){

code=global.md5(code+key);

system.out.println(code);

}

以上算法key和code的初始值可自行输入，以确保生成结果不同，只需有特定顺序即可。

如图2所示，将100个二级域名与50个中转服务器ip绑定，其中一些二级域名可绑定一些错误的干扰ip。

客户端从第1个二级域名开始按顺序访问中转服务器请求服务，若失败则向下访问第2个，直到成功。

服务器收到客户端的请求，可根据客户端的身份信息（例如会员等级、活跃度等）决定是否响应请求，若不响应请求，则从客户端来看，该地址跟错误干扰ip地址一样，攻击者也就无法判断该地址是否为正常的服务器地址，无法决定是否进行攻击。

由于没有特定的域名地址，攻击者也只能通过正常使用客户端才能访问到正确的中转服务器地址，而且一次只能访问1个，想要一直不断进行攻击效率不高。

服务器也可以决定每个中转服务器上正常连接的客户端数量，如果攻击者发起对某个中转服务器的攻击，也只会暂时影响连接到该中转服务器的客户端，其他中转服务器不受影响。

如果客户端用户身份可以通过手机号等唯一标识手段进行验证的，在某个中转服务器受到攻击后，可以将连接到该服务器上的客户端通过跳转指令再平均分配到不同的中转服务器，以此类推将可以找到发起攻击的客户端用户身份，针对该客户端用户身份发起的请求，服务器可以不用响应，从而彻底防止攻击者再次找到正常的中转服务器进行攻击。

现有技术租用云服务商高防ip价格为，20g防御能力需要费用21800元/月；而本发明租用一个基础防御能力5g的中转服务器只需要45元/月，租用50个中转服务器费用为2250元/月，而防御能力达到了250g，理论上可以彻底防御ddos攻击。

本说明书中所描述的以上内容仅仅是对本发明所作的举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，只要不偏离本发明说明书的内容或者超越本权利要求书所定义的范围，均应属于本发明的保护范围。